The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco ASA 5500 droping packet, reason MSS exceed"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Cisco ASA 5500 droping packet, reason MSS exceed"  +/
Сообщение от burn69 (ok) on 14-Авг-09, 11:52 
Здравствуйте!
есть 2 компьютера c ОС WIN2003 SP1 32 bit находящиеся по разные сторон файрвола
файрвол Cisco ASA 5500(FW)
открыл необходимые порты для сетевого доступа на FW, .
Сетевые папки видятся, но при попытке открыть любую шару. выдает ошибку  "network path is no longer available"
Смотрю в логах файрвола след. запись:

Dropping TCP packet from AGF-FTE:10.37.150.248/445 to AGF-NET:192.168.8.8/1262, reason: MSS exceeded, MSS 1380, data 1460

Я пробовал отключать mss exceed, в циске 2 способами описанными ниже:

1 способ:

pixfirewall(config)#access-list http-list2 permit tcp any host 10.37.150.248
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)#
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match access-list http-list2    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 interface AGF-FTE
pixfirewall#

2 способ:

pixfirewall(config)#access-list http-list2 permit tcp any host 10.37.150.248
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)#
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match any    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 global
pixfirewall#
НЕ помогло..
FW в логах дропит пакеты.
Ума не приложу что делать?
Может уменьшить размер фрагментов MSS на win машинах ?
Очень надеюсь на Вашу помощь

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco ASA 5500 droping packet, reason MSS exceed"  +/
Сообщение от burn69 (ok) on 14-Авг-09, 12:06 
>[оверквотинг удален]
>pixfirewall(config-pmap-c)#set connection advanced-options mss-map
>pixfirewall(config-pmap-c)#exit
>pixfirewall(config-pmap)#exit
>pixfirewall(config)#service-policy http-map1 global
>pixfirewall#
>НЕ помогло..
>FW в логах дропит пакеты.
>Ума не приложу что делать?
>Может уменьшить размер фрагментов MSS на win машинах ?
>Очень надеюсь на Вашу помощь

Нашел ветку, ссылка с описанием не работает
https://www.opennet.ru/openforum/vsluhforumID6/10270.html#1


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco ASA 5500 droping packet, reason MSS exceed"  +/
Сообщение от mario email(ok) on 14-Авг-09, 12:10 
>[оверквотинг удален]
>pixfirewall(config-pmap-c)#set connection advanced-options mss-map
>pixfirewall(config-pmap-c)#exit
>pixfirewall(config-pmap)#exit
>pixfirewall(config)#service-policy http-map1 global
>pixfirewall#
>НЕ помогло..
>FW в логах дропит пакеты.
>Ума не приложу что делать?
>Может уменьшить размер фрагментов MSS на win машинах ?
>Очень надеюсь на Вашу помощь

лучше уменьшить на венде размер.
альтернатива попробуйте так сделать
policy-map http-map1
class http-map1
  set connection advanced-options mss-map

tcp-map mss-map
  exceed-mss allow

service-policy http-map1 interface outside
ну и лист нарисуйте кому пропускать и какой порт

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco ASA 5500 droping packet, reason MSS exceed"  +/
Сообщение от burn69 (ok) on 14-Авг-09, 13:19 
>>[оверквотинг удален]
>лучше уменьшить на венде размер.
>альтернатива попробуйте так сделать
>policy-map http-map1

............
>ну и лист нарисуйте кому пропускать и какой порт

Делал не помогло, занимаюсь поиском ошибок, может накосячил где.
а как ув винде уменьшить ?
накопал статейку:
http://support.microsoft.com/kb/224829
не понимаю как нарисовать: 16к размер!???
или это в другом месте меняется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco ASA 5500 droping packet, reason MSS exceed"  +/
Сообщение от mario email(ok) on 14-Авг-09, 13:23 
>[оверквотинг удален]
>
>............
>>ну и лист нарисуйте кому пропускать и какой порт
>
>Делал не помогло, занимаюсь поиском ошибок, может накосячил где.
>а как ув винде уменьшить ?
>накопал статейку:
>http://support.microsoft.com/kb/224829
>не понимаю как нарисовать: 16к размер!???
>или это в другом месте меняется.

извините с вендой слабо знаком...
счас посмотрю мож че найду.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco ASA 5500 droping packet, reason MSS exceed"  +/
Сообщение от mario email(ok) on 14-Авг-09, 13:29 
>[оверквотинг удален]
>
>............
>>ну и лист нарисуйте кому пропускать и какой порт
>
>Делал не помогло, занимаюсь поиском ошибок, может накосячил где.
>а как ув винде уменьшить ?
>накопал статейку:
>http://support.microsoft.com/kb/224829
>не понимаю как нарисовать: 16к размер!???
>или это в другом месте меняется.

покажите как нарисовали ?

и вот в догонку про венду http://www.kursknet.ru/Help/mtu.sht

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco ASA 5500 droping packet, reason MSS exceed"  +/
Сообщение от mario email(ok) on 14-Авг-09, 13:29 
>[оверквотинг удален]
>
>............
>>ну и лист нарисуйте кому пропускать и какой порт
>
>Делал не помогло, занимаюсь поиском ошибок, может накосячил где.
>а как ув винде уменьшить ?
>накопал статейку:
>http://support.microsoft.com/kb/224829
>не понимаю как нарисовать: 16к размер!???
>или это в другом месте меняется.

сорри не внимательно смотрел что вы выложили :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Cisco ASA 5500 droping packet, reason MSS exceed"  +/
Сообщение от burn69 (ok) on 14-Авг-09, 13:48 
MTU 1500 тупо
первым, что пробовал ! не помогло!
Разобрался!!!!
Нашел косяГ!!!!
надо было написать отдельный ACL лист(точно, как в примере),
а я навешивал на существующие!
pixfirewall(config)#access-list http-list2 permit tcp any host 10.37.150.248
http://jklogic.net/
бэкапы уже заливаются !!!
Спасибо за советы mario!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco ASA 5500 droping packet, reason MSS exceed"  +/
Сообщение от mario email(ok) on 14-Авг-09, 13:35 
>[оверквотинг удален]
>
>............
>>ну и лист нарисуйте кому пропускать и какой порт
>
>Делал не помогло, занимаюсь поиском ошибок, может накосячил где.
>а как ув винде уменьшить ?
>накопал статейку:
>http://support.microsoft.com/kb/224829
>не понимаю как нарисовать: 16к размер!???
>или это в другом месте меняется.

а тупо так пробовали ?
mtu outside 1500

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру